- 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음의 안전조치를 적용
- 개인정보처리시스템에 대한 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한하여 인가받지 않은 접근을 제
한 - 개인정보처리시스템에 접속한 인터넷 프로토콜(IP) 주소 등을 분석하여 개인정보 유출 시도 탐지 및 대응
- 개인정보처리시스템에 대한 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한하여 인가받지 않은 접근을 제
- 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 인증서, 보안토큰, 일회용 비밀번호 등 안전한 인증수단 적용 (다만, 이용자가 아닌 정보주체의 개인정보를 처리하는 개인정보처리시스템의 경우 가상사설망 등 안전한 접속수단 또는 안전한 인증수단 적용 가능) -> (기술 중립적으로 다양한 조치가 가능하도록 개선)
- 기술적 관리적 보호조치 기준의 비밀번호 작성 규칙 관련 조항은 삭제되었으나 안전한 인증수단 적용의 의미에 포함된다고 볼 수 있음
(개전 전 내용)
| 기술적관리적 보호조치 | 안전성 확보조치 |
| 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하는 경우 안전한 인증수단 적용 | 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하는 경우 안전한 접속수단 적용 또는 안전한 인증수단을 적용 |
- 처리하는 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 개인정보취급자의 컴퓨터 및 모바일 기기 등 조치
- 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우 자동 접속 차단 등 조치
- 업무용 모바일 기기의 분실ㆍ도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치 적용
- 인터넷망 차단 조치(망분리) : 다음의 조건에 해당하는 개인정보취급자의 컴퓨터 등은 인터넷망 차단 조치 적용 필요(다만, 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하여 개인정보처리시스템을 구성ㆍ운영하는 경우, 해당 서비스에 대한 접속 하는 경우에는 예외)
- 조건
- 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상인 개인정보처리자 (정보통신서비스 부문 전년도 매출액 관련 조항은 삭제)
- 개인정보처리시스템에서 개인정보 다운로드 또는 파기 가능 권한 보유자, 개인정보처리시스템에 대한 접근 권한 설정 가능자
- 조건
'(부제) 나는 CISO 이다 > ISMS-P 인증심사' 카테고리의 다른 글
| 개인정보 안전성 확보조치 (5. 접속기록의 보관 및 점검) (0) | 2023.11.29 |
|---|---|
| 개인정보 안전성 확보조치 (4. 개인정보의 암호화) (0) | 2023.11.29 |
| 개인정보 안전성 확보조치 (2. 접근 권한 관리) (0) | 2023.11.29 |
| 개인정보 안전성 확보조치 (1. 내부 관리계획과 교육) (0) | 2023.11.29 |
| 개인정보 안전성 확보조치 규정 개정 (0) | 2023.11.29 |
댓글